STOCKSTAY: Еще один день – пос... Заметка
RSS Блог об облаках

STOCKSTAY: Еще один день – последнее дополнение к аппарату сбора разведывательных данных Turla

Группа Google Threat Intelligence подробно описала STOCKSTAY, бэкдор на .NET, активно разрабатываемый связанной с Россией группой Turla с конца 2022 года. Turla использовала STOCKSTAY преимущественно против украинских правительственных и военных структур, а также организаций, интересующихся внешней политикой Италии, для кибершпионажа. Этот бэкдор демонстрирует значительные совпадения в коде и функциональности с ранее известным набором инструментов Turla KAZUAR. Turla является давним участником кибершпионажа, чья предполагаемая активность датируется 2004 годом, и связана с ФСБ России. STOCKSTAY — это многокомпонентный бэкдор, который обменивается данными со своим сервером управления и контроля (C2) с использованием защищенных WebSockets, что обеспечивается библиотекой websocket-sharp. Изначально разработанный для имитации программы просмотра данных фондового рынка, STOCKSTAY эволюционировал, чтобы выдавать себя за другие безвредные приложения, такие как программы просмотра PDF и калькуляторы. Вредоносное ПО состоит из отдельных компонентов: STOCKSTAY.STOCKBROKER для сетевой связи, STOCKSTAY.STOCKMARKET в качестве оркестратора, отвечающего за конфигурацию и обмен сообщениями C2, и STOCKSTAY.STOCKTRADER для выполнения команд на зараженном хосте. STOCKSTAY.STOCKTRADER поддерживает ряд операций, включая манипуляции с файлами и реестром, выполнение команд и сбор системной информации. Связанный компонент-загрузчик, STOCKSTAY.MARKETMAKER, был замечен маскирующимся под легитимное программное обеспечение для обеспечения устойчивости. Анализ предоставляет хронологию наблюдений и исследует сходства STOCKSTAY с KAZUAR, контекстуализируя его роль в развивающемся наборе инструментов Turla.
CdXz5zHNQW_ezln4WcZu8.png